本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定客戶受管 OAuth 2.0 應用程式以進行受信任身分傳播
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2"></a>

若要設定受信任身分傳播的客戶受管 OAuth 2.0 應用程式，您必須先將其新增至 IAM Identity Center。使用下列程序將您的應用程式新增至 IAM Identity Center。

**Topics**
+ [步驟 1：選取應用程式類型](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [步驟 2：指定應用程式詳細資訊](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [步驟 3：指定身分驗證設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [步驟 4：指定應用程式登入資料](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [步驟 5：檢閱和設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)

## 步驟 1：選取應用程式類型
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇 **Applications (應用程式)**。

1. 選擇**客戶管理**索引標籤。

1. 選擇**新增應用程式**。

1. 在**選取應用程式類型**頁面的**設定偏好**下，選擇**我有想要設定的應用程式**。

1. 在**應用程式類型**下，選擇 **OAuth 2.0**。

1. 選擇**下一步**以繼續下一頁：[步驟 2：指定應用程式詳細資訊](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)。

## 步驟 2：指定應用程式詳細資訊
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details"></a>

1. 在**指定應用程式詳細資訊**頁面**的應用程式名稱和描述**下，輸入應用程式的**顯示名稱**，例如 **MyApp**。然後，輸入**描述**。

1. 在**使用者和群組指派方法**下，選擇下列其中一個選項：
   + **需要指派** – 僅允許指派給此應用程式的 IAM Identity Center 使用者和群組存取應用程式。

     應用程式圖磚可見性 – 只有直接或透過群組指派指派給應用程式的使用者，才能在 AWS 存取入口網站中檢視應用程式圖磚，前提是** AWS 存取入口網站中的應用程式可見性**設定為**可見**。
   + **不需要指派** – 允許所有授權的 IAM Identity Center 使用者和群組存取此應用程式。

     應用程式圖磚可見性 – 除非** AWS 存取入口網站中的應用程式可見性**設定為**不**可見，否則登入 AWS 存取入口網站的所有使用者都可看見應用程式圖磚。

1. 在**AWS 存取入口網站**下，輸入使用者可存取應用程式的 URL，並指定應用程式圖磚是否會顯示在 AWS 存取入口網站中。如果您選擇**不可見**，則甚至沒有指派的使用者可以檢視應用程式圖磚。

1. 在**標籤 （選用）** 下，選擇**新增標籤**，然後指定**索引鍵**和**值的值 （選用）**。

   如需標籤的相關資訊，請參閱[標記 AWS IAM Identity Center 資源](tagging.md)。

1. 選擇**下一步**，然後繼續前往下一頁 [步驟 3：指定身分驗證設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)。

## 步驟 3：指定身分驗證設定
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings"></a>

若要將支援 OAuth 2.0 的客戶受管應用程式新增至 IAM Identity Center，您必須指定信任的權杖發行者。受信任字符發行者是能建立簽章字符的 OAuth 2.0 授權伺服器。這些字符授權發起請求的應用程式 (請求應用程式) 存取 AWS 受管應用程式 (接收應用程式)。

1. 在**指定身分驗證設定**頁面的**信任字符發行者**下，執行下列其中一項操作：
   + 若要使用現有的受信任權杖發行者：

     選取您要使用之受信任權杖發行者名稱旁的核取方塊。
   + 若要新增受信任權杖發行者：

     1. 選擇**建立信任的權杖發行者**。

     1. 新的瀏覽器索引標籤隨即開啟。請遵循 中的步驟 5 到 8[如何將受信任權杖發行者新增至 IAM Identity Center 主控台](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer)。

     1. 完成這些步驟後，請返回您用於應用程式設定的瀏覽器視窗，然後選取您剛新增的信任權杖發行者。

     1. 在信任權杖發行者清單中，選取您剛新增之信任權杖發行者名稱旁的核取方塊。

        選取信任的權杖發行者之後，即會顯示**設定選取的信任權杖發行者**區段。

1. 在**設定選取的受信任權杖發行者**下，輸入 **Aud 宣告**。**Aud 宣告**會識別受信任字符發行者所產生字符的目標受眾 （收件人）。如需詳細資訊，請參閱[Aud 宣告](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim)。

1. 若要防止使用者在使用此應用程式時重新驗證身分，請選取**啟用重新整理字符授予**。選取時，此選項會每 60 分鐘重新整理工作階段的存取字符，直到工作階段過期或使用者結束工作階段為止。

1. 選擇**下一步**，然後前往下一頁 [步驟 4：指定應用程式登入資料](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)。

## 步驟 4：指定應用程式登入資料
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials"></a>

完成此程序中的步驟，以指定您的應用程式用來與信任的應用程式執行權杖交換動作的登入資料。這些登入資料用於以資源為基礎的政策。政策要求您指定具有執行政策中指定動作之許可的委託人。即使信任的應用程式位於相同的 中，**您也必須指定委託人** AWS 帳戶。

**注意**  
當您使用 政策設定許可時， 只會授予執行任務所需的許可。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為最低權限許可。

此政策需要 [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) API 動作。如需此政策的詳細資訊，以及您可以視需要針對環境進行調整的範例，請參閱 [IAM Identity Center IAM Identity Center 的資源型政策範例](iam-auth-access-using-resource-based-policies.md)。

1. 在**指定應用程式登入**資料頁面上，執行下列其中一項操作：
   + 若要快速指定一或多個 IAM 角色：

     1. 選擇**輸入一或多個 IAM 角色**。

     1. 在**輸入 IAM 角色**下，指定現有 IAM 角色的 Amazon Resource Name (ARN)。若要指定 ARN，請使用下列語法。ARN 的區域部分是空白的，因為 IAM 資源是全域。

        ```
          arn:aws:iam::{{account}}:role/{{role-name-with-path}}
        ```

        如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用資源型政策和 IAM ARN 進行跨帳戶存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies)。 [ ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) 
   + 若要手動編輯政策 （如果您指定非AWS 憑證則為必要）：

     1. 選取**編輯應用程式政策**。

     1. 在 JSON 文字方塊中輸入或貼上文字，以修改您的政策。

     1. 解決政策驗證期間產生的任何安全警告、錯誤或一般警告。如需詳細資訊，請參閱[《 使用者指南》中的驗證 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)。 *AWS Identity and Access Management *

1. 選擇**下一步**，然後前往下一頁 [步驟 5：檢閱和設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)。

## 步驟 5：檢閱和設定
<a name="customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure"></a>

1. 在**檢閱和設定**頁面上，檢閱您所做的選擇。若要進行變更，請選擇您想要的組態區段，選擇**編輯**，然後進行必要的變更。

1. 完成後，請選擇**新增應用程式**。

1. 您新增的應用程式會出現在**客戶受管應用程式**清單中。

1. 在 IAM Identity Center 中設定客戶受管應用程式後，您必須為身分傳播指定一或多個 AWS 服務或信任的應用程式。這可讓使用者登入您的客戶受管應用程式，並存取信任應用程式中的資料。

   如需詳細資訊，請參閱[指定信任的應用程式](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)。